Кодировка PostgreSQL:
- Ваше приложение, вероятно, будет зависеть от PostgreSQL, и, возможно, вам придется переписать эту часть, если вы хотите использовать ее с другой СУБД.
- Если PostgreSQL находится на другом компьютере, вам следует рассмотреть возможность использования какой-либо формы безопасного обмена данными между приложением и СУБД, поскольку пароли передаются между ними в виде простого текста.
OWASP против весны:
- Они очень похожи.
- Оба используют соль.
- Весна использует секрет (Овасп нет).
- Конечно, вы можете изменить Owasp для использования секрета, если вам это нужно, или вы можете использовать
StandardPasswordEncoder без секрета.
- Spring's
encode() возвращает только одну строку, которая также содержит соль (как обычно в unix / linux), в то время как Owasp требует дополнительный атрибут базы данных для значения соли.
- Spring проще и, возможно, лучше поддерживается, чем веб-статья Owasp за 2008 год.
- Owasp смешивает функции: он кодирует / проверяет пароли и также содержит много кода JDBC.
- Spring просто кодирует / проверяет пароли, а ваша ответственность - хранение паролей. Но, возможно, ваш фреймворк делает это для вас, или вы можете написать это для себя.
Я бы использовал StandardPasswordEncoder. Это более просто и делает то же самое, что и Owasp.